新闻动态
微隔离助力构建云计算业务边界
发布时间:
2023-08-02 10:15
来源:
作者:
访问量:
微隔离被公认为云计算时代网络安全的新核心技术构件,它通过基于业务属性的边界组织和访问控制策略,自动化的策略计算和集中的控制平面,为云计算环境中的边界安全难题提供了理想的解决方案。
云计算环境下业务的东西向边界面临的困境,与云计算自身的技术架构密切相关。其中最重要的挑战之一是计算资源和网络资源的池化管理。传统的做法是将同一业务的资源部署在同一物理位置,并为它们分配同一网段的IP地址,然后在这个业务之前放置防火墙并基于其网段配置访问控制策略。然而,云计算使得传统的做法无法继续使用。在云计算环境中,业务所属资源的物理位置和网络地址都是随机的,彼此之间没有关联。这使得用户无法有效划分出网络边界,传统的面向网络的访问控制手段无法成功应用。同时,由于云计算环境中计算资源和网络资源被池化管理,随机分配的IP地址使得形成稳定的访问控制策略变得困难,尤其在容器环境下更加明显。
这个问题是一个极其巨大的危机,对整个网络安全的基本方法论构成了颠覆性的挑战。能否解决这个问题,决定着我们能否真正大规模使用云计算,能否真正把关键业务迁移到云计算上来。为了解决这个问题,人们做了很多的思考和努力。然而,传统的面向网络的防火墙及其类似技术肯定是无法继续使用的,我们需要新一代的边界技术。这种技术应该允许人们自由的圈定业务边界,而不受业务资产的物理位置影响。同时,这种技术应该允许人们自由的设置策略,而不受云计算环境下IP地址分配的影响。此外,这种技术还要适应云计算的高弹性特点,可以根据资源变动情况随时确保边界的稳定有效。而且,这种技术还要适应云计算时代业务规模普遍放大的特点,能够降低策略编写与运维的难度,使得面向十万级工作负载的策略运维成为可能。微隔离就是基于这样的思考被设计出来的。
微隔离的工作方法是为每一个工作负载分配一个身份证书,记录工作负载的相关属性,而业务属性是其中的关键属性之一。通过策略计算引擎,微隔离为每个工作负载配置了主机防火墙访问控制策略。其原则是同一业务内的资产可以相互访问,而不同业务间的资产默认拒绝访问。如果需要通信,则需要单独设置白名单。通过这种方式,同一业务资产上的所有主机防火墙共同构建了一条逻辑边界,将具有相同业务属性的资产从网络中隔离出来。
微隔离技术的工作方式完美地适应了云计算对新一代边界技术的要求。它不再要求业务资产的IP地址在同一网段内,也不要求它们在同一物理空间。无论业务资产在何处,无论它们的IP地址如何,只要它们共享相同的业务属性,它们就会被纳入同一业务边界。这种基于业务属性的边界组织方式是为云计算量身定制的,它使得资源池化这个云计算的底层技术基因不再成为业务设定边界的障碍。
不仅边界是基于业务属性划分的,访问控制策略也是基于业务属性设定的。微隔离的策略不再面向网络设定IP地址之间的访问关系,而是面向业务设定业务间的访问关系。虽然IP地址是随机且多变的,但是业务属性作为资产的自由特征属性是稳定的。面向业务的策略不仅能够稳定工作,而且更加本质、易读且易维护。
微隔离的策略引擎负责将面向业务的策略计算为面向IP的策略。这个能力不仅在策略设定工程中有价值,而且在策略运维过程中更加重要。云计算的弹性变化一直以来都是对策略运维的巨大挑战,而微隔离可以根据IP地址的变化,基于业务策略自动重新计算新的IP策略。这使得策略运维不再对工程师构成挑战,减少了工作量,同时确保了策略的时效性和准确性。
作为一种软件定义安全的体系结构,微隔离具有一个集中的控制平面。用户只需在这个控制平面上以程序编辑的方式对整个云计算的微隔离体系进行编程。与过去手工控制每个边界设备的方式相比,这种方法使得用户可以通过API联动,实现从研发到运维到安全的全生命周期的无缝衔接。这实现了零参与、零错误和零等待的目标。
随着云计算的普及和发展,网络内部的构造变得越来越扁平化,不同业务和租户的数据被放在一起,业务边界的划分变得比以往更加重要。然而,云计算的资源池化特性也给业务边界的划分带来了巨大的挑战。在这样的背景下,微隔离作为新一代的边界技术,完美地满足了用户对云计算时代边界安全的最苛刻要求。微隔离被公认为云计算时代网络安全的新核心技术构件,它通过基于业务属性的边界组织和访问控制策略,自动化的策略计算和集中的控制平面,为云计算环境中的安全难题提供了理想的解决方案。
微隔离
